Les précieuses décisions de la CJUE

Les précieuses décisions de la CJUE (Episode 2) L’affaire C-184/20

Une nouvelle question préjudicielle[1] posée à la Cour de Justice de l’Union Européenne (CJUE) permet d’interpréter encore davantage le sens à donner aux dispositions issues du Règlement Général sur la Protection des Données (RGPD).

Le contexte de l’affaire

Les circonstances de cette décision résonnent différemment, à quelques jours de la Saint-Valentin : il faut croire qu’en politique, comme en amour, tout est une question de confiance !

Au cœur de cette affaire : la transparence due au public par les dirigeants[2].

Une loi lituanienne du 02 juillet 1997 impose la publicité des déclarations d’intérêts et de patrimoine de ses responsables publics, comme cela est le cas dans plusieurs autres États de l’Union Européenne (UE). Ce texte habilite également une autorité indépendante, la « Haute Commission », à veiller au respect de cette exigence de transparence. A ce titre, elle est notamment chargée de poster sur Internet les déclarations d’intérêts privés qui lui sont adressées.

« OT », le directeur d’un établissement public lituanien actif dans le domaine de la protection de l’environnement, n’a vraisemblablement pas eu le cœur à l’ouvrage. Ce dernier a en effet refusé de soumettre sa déclaration, estimant que cette obligation contrevient à ses droits fondamentaux (droit en matière de protection des données personnelles et droit au respect de sa vie privée).

L’affaire a été portée en justice, et les magistrats lituaniens ont questionné la CJUE pour en savoir plus sur la compatibilité et l’articulation entre leur droit national et le RGPD.

Vous ne connaissez pas ces textes par cœur ? Ah bon ? Voici donc un petit rappel utile :

Les questions posées à la CJUE

  • Vous l’aurez compris, se pose en substance la question de savoir si le RGPD permet qu’une loi nationale organise la mise en ligne systématique, par l’autorité de contrôle compétente, de la déclaration d’intérêts privés réalisée par un directeur d’établissement percevant des fonds publics.

Ayez le cœur bien accroché, car il est nécessaire de tenir un raisonnement construit pour parvenir à la réponse !

Tout d’abord, il convient de vérifier si un tel traitement est licite.

Pour cela, il faut que le traitement de données que constitue cette publication ait une base légale, c’est-à-dire d’un fondement juridique justifiant sa mise en œuvre. Ici, la loi lituanienne impose à la Haute commission de poster sur son site Internet les déclarations de patrimoine qu’elle reçoit. Cette publication est donc justifiée par l’obligation légale à laquelle est soumise la Haute commission, conformément à l’article 6(1)(c) du RGPD (cf. supra).

Mais l’existence d’une loi prescrivant le traitement de données ne suffit pas. Encore faut-il que cette loi réponde ensuite à plusieurs critères :

  • Les dispositions législatives en cause doivent poursuivre un objectif légitime d’intérêt public ;
  • Le traitement de données concerné doit répondre effectivement à l’objectif légitime poursuivi ;
  • Le traitement de données concerné doit répondre à l’objectif légitime de manière proportionnée.

La publicité de ces déclarations de patrimoine poursuit-elle un objectif légitime d’intérêt public ?

Pour la CJUE, cela ne fait aucun doute. Selon elle, cette mesure a à cœur de « renforcer les garanties de probité et d’impartialité des décideurs du secteur public, [de] prévenir les conflits d’intérêts » et les pratiques illégales dans le secteur public. D’autant que de nombreux textes imposent précisément aux pays de l’UE de lutter contre la corruption, tant au niveau international qu’au niveau communautaire.

Cette mise en ligne est-elle apte à atteindre l’objectif d’intérêt général de lutte contre la corruption ?

Selon la CJUE, cette publicité est susceptible d’influer sur l’exercice des fonctions des personnes tenues de remplir cette déclaration de patrimoine. Cette mesure joue donc un rôle de prévention des conflits d’intérêts et de corruption. Elle permet à tout à chacun d’en avoir le cœur net sur la probité de ces dirigeants, d’« accroître la responsabilité des acteurs du secteur public et, partant, à renforcer la confiance des citoyens dans l’action publique ».

Le traitement de données (la publication) est-il strictement proportionné au but poursuivi ?

Là se situe le point bloquant de cette mesure pour la CJUE.

Pour être proportionné, un traitement de données ne doit pas aller au-delà de ce qui est nécessaire pour concrétiser l’objectif qu’il poursuit. Autrement dit, le but recherché ne doit pas pouvoir être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées.

Or, justement, la CJUE a ici estimé que cette publicité excessive, en particulier au regard de l’impact de cette mesure sur le droit au respect de la vie privée des déclarants et de celle de leurs proches. La Cour relève que la loi lituanienne contrevient au principe de « minimisation des données » prévu à l’article 5(1)(c) du RGPD, notamment car :

  • Un nombre trop important de professionnels est concerné par la publicité de leur déclaration.

Il y a lieu de pondérer cette obligation en tenant compte de la position hiérarchique, de l’étendue des compétences et des pouvoirs dont dispose le dirigeant en matière d’engagement et de gestion de fonds publics. La CJUE est donc d’avis que les directeurs d’établissements ne soient pas traités comme d’autres catégories de fonctions. Selon elle, un simple contrôle du contenu de leur déclaration par la Haute commission, sans mise en ligne, est suffisant. A condition toutefois que cette autorité dispose des moyens nécessaires pour procéder à ces vérifications…

  • L’ampleur des données réclamées est exagérée, tel que le fait de solliciter la mention de « toute transaction conclue au cours des derniers mois civils dont la valeur excède 3.000 €».
  • Trop d’informations devant figurer sur la déclaration de patrimoine ont vocation à être publiées.

Pour la CJUE, il conviendrait de réduire cette liste. La Cour relève que le même niveau de transparence pourrait être atteint s’il était fait uniquement référence, dans la publication, à l’expression générique de « conjoint, concubin ou partenaire », plutôt que de révéler l’identité de ce(tte) dernier(e).

Pas besoin que tous les décideurs publics se livrent à ce point à cœur ouvert pour les responsabiliser !

Sur ce point, la CJUE apporte une précision importante. En répondant à une deuxième question qui lui est adressée, elle souligne que le fait de dévoiler le nom des conjoints/concubins est susceptible de révéler certains aspects sensibles de la vie privée des déclarants, y compris, par exemple, leur orientation sexuelle. Dans ces conditions, la mise en ligne des déclarations d’intérêts privés s’avère être un traitement portant sur des catégories particulières de données, au sens de l’article 9 du RGPD (cf. supra). En effet, s’il ne comporte pas de données « intrinsèquement sensibles », il comprend des données « dévoilant indirectement, au terme d’une opération intellectuelle de déduction ou de recoupement, des informations de cette nature ». Ce d’autant que la publication de ces renseignements sur le Web les rend accessibles à un nombre potentiellement illimité de personnes. Cette mise en ligne risque d’exposer les proches des déclarants à des démarchages commerciaux répétés, voire à des risques d’agissements criminels par des gens qui ne les porteraient pas dans leur cœur…

 

« OT » a donc eu raison de faire contre mauvaise fortune, bon cœur, pour faire valoir ses droits !

 

Et nous, dans tout cela ?

La France s’est dotée de lois similaires. Sur le même principe qu’en Lituanie, une autorité administrative indépendante est investie de la mission de contrôler l’application des règles en matière de prévention des conflits d’intérêts et de lutte contre la corruption : la Haute Autorité pour la transparence de la vie publique[3].

La loi n° 2013-907 du 11 octobre 2013 prévoit cependant expressément que l’adresse personnelle de l’auteur de la déclaration de patrimoine, ainsi que l’identité des membres de sa famille, ne peuvent pas être rendus publics. Cette obligation de déclaration concerne également moins de responsables publics qu’en Lituanie (globalement, les personnes investis d’un mandat électif et les présidents/directeurs généraux des sociétés dans lesquelles plus de la moitié du capital social est détenu par l’État).

MAIS PRUDENCE – La CJUE précise que sa conclusion n’est pas forcément valable pour tous les Etats membres de l’UE. Selon elle, pour apprécier la légalité de ces publications impératives de déclarations d’intérêts, il convient de prendre en compte « l’ensemble des éléments de droit et de fait propres à l’État membre concerné », tels que l’existence d’autres mesures destinées à prévenir les conflits d’intérêts ou l’ampleur du phénomène de corruption au sein du service public, par exemple.

♥ ♥ ♥

Quelles données collecter ? Pourquoi ? Comment ? Sous quelles conditions ?

Vous êtes perdu parmi toutes ces obligations légales ?

Haut les cœurs ! Pour tout comprendre, il suffit d’être bien accompagné !

Notre équipe d’experts est présent pour vous assister dans vos démarches de conformité.

Si le cœur vous en dit, appelez-nous à la rescousse via notre formulaire de contact, ne serons de tout cœur à vos côtés :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] Lorsqu’un tribunal d’un pays de l’Union Européenne (UE) s’interroge, lors d’un procès, sur la portée du champ d’’application d’une législation européenne et son articulation avec le droit national, les juges de cet État membre peuvent adresser à la Cour de Justice de l’Union Européenne (CJUE) une question préjudicielle, pour savoir comment interpréter les textes en cause. 

[2] L’arrêt CJUE, n°C-184/20 « OT contre Vyriausioji tarnybinės etikos komisija », 1er août 2022, est disponible dans son intégralité à l’adresse suivante : https://curia.europa.eu/juris/document/document.jsf?text=&docid=263721&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=345786

[3] Pour en savoir plus sur la Haute autorité pour la transparence de la vie publique, rendez-vous sur son site : https://www.hatvp.fr/temps-forts-2/

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

décision le CJUE

Les décisions précieuses de la CJUE (Episode 1) L’affaire C-175/20 [1]

 

Lorsque les tribunaux nationaux s’interrogent durant un procès sur le sens à donner à une législation européenne, ils peuvent adresser à la Cour de Justice de l’Union Européenne (CJUE) une question préjudicielle.   Grâce à cette procédure, la CJUE précise peu à peu son interprétation des textes, et notamment du Règlement Général sur la Protection des Données (RGPD). Pas question de juger dans le flou ou « à peu près » ! Cette jurisprudence communautaire permet aux juridictions des États membres d’harmoniser entre elles leurs décisions, et de combler progressivement le manque de précision parfois reproché à ce Règlement.

 

« Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique » pour garantir, notamment : la sécurité nationale, la prévention et la détection d’infractions pénales, et d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important.

– Extrait de l’article 23 du RGPD[2]

Le contexte de l’affaire

Une loi lettone permet à l’administration fiscale de contraindre les publicitaires en ligne de lui communiquer les informations dont ils disposent sur les contribuables qui recourent à leurs services. Invoquant cette disposition, l’administration fiscale de Lettonie a demandé au prestataire de services « SS » d’accéder aux numéros de châssis de certains véhicules mis en avant dans une annonce publiée sur son portail durant l’été 2018.

La demande de l’administration fiscale prévoyait par ailleurs que, si « SS » ne parvenait pas à retrouver ces renseignements, il devrait alors lui fournir chaque mois de nombreuses informations concernant les annonces postées le mois d’avant. Les informations portaient notamment sur le lien de l’annonce, le texte de celle-ci, la marque, le modèle, le numéro de châssis et le prix du véhicule, ainsi que le numéro de téléphone du vendeur.

 

« SS » n’a évidemment pas apprécié que l’administration fiscale regarde de près le contenu de son activité et de celle de ses clients. Il s’est ainsi opposé à sa requête, la jugeant non conforme aux principes de proportionnalité et de minimisation des données à caractère personnel prévus par l’article 5 du RGPD.L’affaire a été portée en justice. Les magistrats lettons ont ensuite questionné la CJUE pour en savoir plus sur la compatibilité et l’articulation entre le droit letton et le RGPD.

 

Remarque:

Les juges lettons ne s’interrogeaient pas ici sur le droit de l’administration fiscale d’obtenir des informations à la disposition d’un prestataire publicitaire. Ils ne remettaient pas en cause le fait que le RGPD tolère, dans certaines situations, la communication forcée de données personnelles – à ceci près qu’ils ignoreraient la portée de cette dérogation.

Le litige portait ici davantage sur :

–          La quantité et le type d’informations susceptibles d’être demandées par l’administration fiscale lettone,

–          Le caractère limité ou illimité de celles-ci, […]

–          La question de savoir si l’obligation de communication à laquelle est soumise « SS » doit être limitée dans le temps. ».

Les questions posées à la CJUE

Question 1 (les juges lettons) : Le RGPD s’applique-t-il bien dans une telle situation ?

Réponse 1 (LaCJUE): OUI

  • La demande de ces informations par l’administration fiscale lettone, ainsi que leur transmission par les prestataires publicitaires, constituent bien des traitements de données personnelles (collecte et communication de données).
  • Une telle demande ne constitue pas un “traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites […] ou d’exécution de sanctions pénales”, au sens de l’article 2(2) du RGPD.

En effet, l’administration fiscale n’intervenait pas ici dans le domaine de la coopération judiciaire en matière pénale ou policière. Rien n’indiquait d’ailleurs, de près ou de loin, que les données demandées concernaient une fraude fiscale des vendeurs des véhicules.

L’administration fiscale agissait uniquement dans son rôle de percepteur des impôts.

Conclusion : l’article 2(2) du RGPD excluant son application pour les traitements de données mis en œuvre dans le cadre d’investigations pénales ne s’applique pas ici.

 

Question 2 : (les juges lettons) : Le RGPD autorise-t-il que l’administration fiscale d’un État membre puisse déroger aux principes de proportionnalité et de minimisation des données, alors même qu’un tel droit ne lui a pas été octroyé par la législation de son pays ?

Réponse 2 : (LaCJUE): OUI SOUS CONDITIONS

Les droits reconnus aux personnes concernées par le RGPD pour assurer la protection de leurs données personnelles peuvent être limités par les législations nationales, à condition :

① que ces législations respectent l’essence des libertés et droits fondamentaux, et 

② que ces limitations constituent une mesure nécessaire et proportionnée pour garantir certains enjeux essentiels, notamment un intérêt économique ou financier important, y compris dans le domaine fiscal (art. 23 RGPD)3.

Remarque : la CJUE précise qu’une telle loi doit être claire et précise, et que son application doit être prévisible pour les justiciables. En d’autres termes, il faut que les citoyens soient en mesure d’identifier les circonstances et les conditions dans lesquelles leurs droits peuvent être limités.

◊ Le texte législatif en question doit détailler la portée de cette entorse faite aux droits des citoyens en matière de protection des données personnelles, les situations dans lesquelles cette limitation peut intervenir, les exigences minimales prévues pour prévenir les risques d’abus, etc.).

 

Question 3 : (les juges lettons) : LE RGPD s’oppose-t-il à ce que l’administration fiscale d’un État membre exige d’un publicitaire sur Internet qu’il lui communique, pendant une période indéterminée et sans que soit précisée la finalité de cette demande de communication, des informations relatives à l’ensemble des contribuables qui auraient publié des annonces sur son site ?

Réponse 3 : (LaCJUE) OUI – L’administration fiscale doit elle-aussi, dans cette hypothèse, respecter les articles 5 (principe de proportionnalité et de minimisation des données) et 6 (base légale du traitement) du RGPD.

  • La demande de l’administration fiscale doit indiquer explicitement les finalités des traitements qu’elle entend réaliser avec ces données, en application de l’article 6 du RGPD. Elle doit d’ailleurs viser la réglementation en vertu de laquelle elle agit.

La base légale [4] de ces traitements serait ici « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investie l’administration fiscale », puisque la perception de l’impôt et la lutte contre la fraude fiscale constituent bien des missions d’intérêts publics.

  • Le seul fait que l’administration fiscale ne précise aucune limite temporelle à sa demande de collecte de données ne permet pas, en lui seul, de considérer que la durée de ce traitement excède celle strictement nécessaire pour atteindre l’objectif visé par le fisc.

MAIS la CJUE précise qu’il appartient à l’administration fiscale de prouver qu’elle a cherché à minimiser autant que possible la quantité de données à caractère personnel qu’elle souhaite recueillir, et que la collecte de ces données n’excède pas la durée strictement nécessaire pour atteindre l’objectif d’intérêt général qu’elle poursuit.

Et vous, dans tout cela ?

Cette décision rappelle le cadre dans lequel les « tiers autorisés »[5] peuvent solliciter l’accès à des données à caractère personnel provenant des fichiers d’organismes publics ou privés.

Vous ! Oui, vous. Soyez vigilants ! Il ne s’agit pas de transmettre automatiquement toutes les informations que vous traitez aux « autorités » sur simple demande de leur part, et sans autres vérifications ! Autrement, vous vous rendrez coupable d’une violation de données, faute d’avoir respecté la confidentialité attachée à ces renseignements.

 

Dans cette situation, de nombreux points sont à contrôler pour ne pas violer vos obligations en matière de protection des données :

  • Vérifier la validité de la requête qui vous est présentée ;

(La demande est-elle bien écrite ? La réglementation autorisant une telle demande est-elle citée ? La finalité de cette collecte est-elle précisée et justifiée au regard de la mission d’intérêt public poursuivie ? etc.).

  • Vérifier la qualité et la compétence des agents qui se présentent à vous ;
  • Organiser et encadrer le périmètre de leur contrôle ;
  • Conserver une traçabilité des échanges et des investigations réalisées, etc.

 

Nous vous conseillons de rédiger une procédure interne spécifique afin de gérer efficacement ce type de demandes, et de former vos collaborateurs à y réagir sans paniquer. Pour vous y aider, pour pouvez vous appuyer sur le Guide Pratique de CNIL

Il est important d’avoir les bons réflexes ! Si vous souhaitez vous faire accompagner dans vos démarches par une équipe de professionnel habituée à appréhender ces demandes de « tiers autorisés », nous vous invitons à prendre contact avec nos services via notre formulaire de contact : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] L’arrêt CJUE, n° C-175/20, « SS » SIA contre Valsts ieņēmumu dienests, 24 février 2022 est disponible dans son intégralité à l’adresse suivante : https://curia.europa.eu/juris/document/document.jsf?text=&docid=254583&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=35938

[2] Pour consulter la version complète de l’article 23 du RGPD, cliquez sur ce lien : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article23

[3] Art. (5)(1)(c) RGPD : « Les données à caractère personnel doivent être : […] c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

[4] Nous vous invitons à faire une lecture approfondie de l’article 23 du RGPD pour connaître précisément les droits des personnes concernées susceptibles de faire l’objet d’une telle limitation, ainsi que les enjeux justifiant ce type de dérogations.¨

[5] Cette expression de « tiers autorisés » désigne l’ensemble des autorités ou entités disposant d’un pouvoir légalement octroyé de réclamer de tels renseignements.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires